『詐欺メール』「【三井住友カード】ご利用確認のお願い」と、来た件

偽装はどこまでだろう？

お昼休みも終わって午後の仕事に取り掛かった頃に奴は送られてきました。
そう、ブラックメール。
今回は「三井住友カード」を騙るなりすましフィッシング詐欺メール。
送信先は私が仕事で使ってる公用のメールアドレスに。

プロパティーはこんな感じです。

差出人は「三井住友カード <vpass.ne.jp>」とはなっていますが、
ご覧の通り”Return-Path”は”biwv@wxlxpbfleq.asia”なんておかしなメールアドレスに
なっていますし、”Message-ID”のドメインも”wxlxpbfleq.asia”と書かれていますので
恐らくコヤツのメールアドレスは”biwv@wxlxpbfleq.asia”かと…
確信を高めるためメールヘッダーにある送り主の”Received”を見てみると。

IPアドレスは”45.192.178.251”、これをとある検索機にかけてみると、現在の所在地は
今を時めく香港と表示されました。

ホスト名もこのIPアドレスが表示されているのでこのIPアドレスに割当てられたドメインは
無いと言う事。
また、”wxlxpbfleq.asia”は検索にヒットしないのでこれは偽装かも知れません。
逆にもしかして”45.192.178.251”が偽装なのかも知れませんが、私には残念ながらそれを判断
する術が有りません(^^;

日本語のスキルが完璧

さて、今度は本文を見ていきます。

いつもの三井住友のなりすましなら緑色をあしらったカラフルなメールが送られてくるのですが
今回は嫌に質素ですね…
それにこの手のメールは翻訳機を使って翻訳されたものが多いので言葉遣いに違和感のある
メールが多いのですが、このメールは日本語のスキルが上がってて全く違和感がありません。
私は三井住友に口座持ってないので騙されませんが、もし口座があってカードのユーザーだと
文面だけ見てたらコロッと騙されてしまいそうです。

メールにあるリンクが先サイトへの入口。
このURLはメールに直接書かれているものと同じ。

行ってみましたが、既にトンズラしてサイトは閉鎖されていました。

でも、ドメインはそんな簡単には捨てられないので”smcc-cacc.momswearthis.com”って
ドメインについて調べてみます。

これによると、ドメインの取得は中国の上海から2019年10月に行われたことが分かります。
割り当て国はアメリカ合衆国となっていますので、このドメインで運営しているウェブサーバー
はアメリカにあるようですね。
サーバーの所在をもう少し詳しく調べてみると…

カリフォルニア州のロスアンジェルスにあるようです。

詐欺師は足がつかないようにサーバーを転々と変えて犯行を続けるので新鮮なうちに
調査しないと今回のようにリンクが切れてしまっていることが多くあります。
ですから、今回の調査結果もドここまで信憑性があるのか眉唾物ですので参考までに
とどめておくことにしましょう。

しかし、日本語がこれほど巧妙だとヤバいですねぇ…(;^_^A
三井住友銀行ユーザーの方、くれぐれも気を付けてお過ごしください！